Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 3716 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Webfiltering - Subnet

zeus1976
Hello Together,

I've found a few days ago that it is possible to access from a DMZ address to the web server on the LAN.

There is no firewall rule and after several tests, I recognized that the proxy server (web filter) allows this access.

Policy Helpdesk confirm that is allow.

Can I prevent this?

Thanks for the feedback.

Best regards


This thread was automatically locked due to age.
  • 0
    Yes, add the site to the blocklist in the filter action assigned to the profile used by DMZ network.
  • 0 in reply to Scott_Klassen
    Yes, add the site to the blocklist in the filter action assigned to the profile used by DMZ network.


    Thank you for the fast answer. It is normal to add this in the blocklist?

    Best regards
  • 0
    It can be, as proxy usage supercedes firewall rules that might otherwise block web traffic between interfaces.  To the proxy there is no difference between a website you are hosting on another interface and one on the internet.
  • 0 in reply to Scott_Klassen
    It can be, as proxy usage supercedes firewall rules that might otherwise block web traffic between interfaces.  To the proxy there is no difference between a website you are hosting on another interface and one on the internet.


    I think you are right with the proxy usage supercedes the firewall rules. 

    But the question is: 
    Can I activate an option on the proxy that is blocking the traffic between the interfaces?

    Thank you for your help.
  • 0
    You can use a blackhole DNAT (see #2 in Rulz) to prevent any unrequested traffic from going from the DMZ to the LAN via the Proxy.

    I maintain a document "Configure HTTP Proxy for a Network of Guests" which is available to User BB members; it gives some other hints about dealing with this if the LAN is in Standard mode and the DMZ in Transparent.  Click on my name beside the Cyrano avatar and send me an email if you would like a copy of that document.

    Cheers - Bob
  • 0 in reply to BAlfson
    You can use a blackhole DNAT (see #2 in Rulz) to prevent any unrequested traffic from going from the DMZ to the LAN via the Proxy.

    I maintain a document "Configure HTTP Proxy for a Network of Guests" which is available to User BB members; it gives some other hints about dealing with this if the LAN is in Standard mode and the DMZ in Transparent.  Click on my name beside the Cyrano avatar and send me an email if you would like a copy of that document.

    Cheers - Bob


    Thank you very much for your help - BOB.

    I would like to block a subnet per Regular Expressions: (192.168.200.0 / 255.255.255.0)
    ^192\.168\.200\.([1-9]|[1-9][0-9]|1([0-9][0-9])|2([0-4][0-9]|5[0-4]))$

    It's that correct? 

    Thank you for the help.

    Best regards
  • 0
    All you need is: ^https?://192\.168\.200\.[0-9]+\.

    That approach is useful if you have the non-guest LAN also using a Transparent instead of a Standard mode.

    Cheers - Bob